exploitDog

GHSA-gcgw-q47m-prvj

Опубликовано: 12 дек. 2023

Источник: github

Github: Прошло ревью

CVSS3: 9.1

Описание

Duplicate Advisory: Improper JWT Signature Validation in SAP Security Services Library

Duplicate Advisory

This advisory has been withdrawn because it is a duplicate of GHSA-59c9-pxq8-9c73. This link is maintained to preserve external references.

Original Description

SAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library) - versions below 2.17.0 and versions from 3.0.0 to before 3.3.0, allow under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.

Ссылки

Пакеты

Наименование

com.sap.cloud.security:java-security

maven

Затронутые версииВерсия исправления

< 2.17.0

2.17.0

Наименование

com.sap.cloud.security:java-security

maven

Затронутые версииВерсия исправления

>= 3.0.0, < 3.3.0

3.3.0

Наименование

com.sap.cloud.security.xsuaa:spring-xsuaa

maven

Затронутые версииВерсия исправления

< 2.17.0

2.17.0

Наименование

com.sap.cloud.security.xsuaa:spring-xsuaa

maven

Затронутые версииВерсия исправления

>= 3.0.0, < 3.3.0

3.3.0

Наименование

com.sap.cloud.security:spring-security

maven

Затронутые версииВерсия исправления

< 2.17.0

2.17.0

Наименование

com.sap.cloud.security:spring-security

maven

Затронутые версииВерсия исправления

>= 3.0.0, < 3.3.0

3.3.0

9.1 Critical

CVSS3

Дефекты

CWE-269

CWE-639

CWE-749

9.1 Critical

CVSS3

Дефекты

CWE-269

CWE-639

CWE-749